Universitatea „Alexandru Ioan Cuza” Iași

Facultatea de Economie și Administrarea Afacerilor

Specializarea Informatică Economică

SECURITATEA DATELOR
CU CARACTER PERSONAL

Conducător științific:

Prof. univ. dr. Bogdănel Adrian Munteanu

Student:

Beldie Andra

Iași

2018

1
 CUPRINS

Capitolul I. Abordarea conceptuală a securității datelor personale.................................................3

1.1 Definirea termenilor cheie................................................................................................3
1.2 Scurt istoric al securității datelor cu caracter personal în cadrul Uniunii Europene.........5
1.3 Clasificarea datelor...........................................................................................................8
1.4 Nouățile implementării GDPR........................................................................................11
Capitolul II. Măsuri tehnice și administrative în funcție de riscuri...............................................12
2.1 Evaluarea riscurilor..............................................................................................................12
2.2 Măsuri administrative..........................................................................................................13
1.Politici.................................................................................................................................14
2.Proceduri.............................................................................................................................15
3.DPO....................................................................................................................................16
4.Clauze.................................................................................................................................17
5.Contract...............................................................................................................................17
2.3 Măsuri tehnice.....................................................................................................................18
1.Criptarea.............................................................................................................................18
2.Pseudonimizarea.................................................................................................................19
3.Endpoint protection............................................................................................................21
4.Controlul accesului la date..................................................................................................25
5.Controlul recuperării datelor...............................................................................................25
6.Mobile device management................................................................................................27
7.DataBase Protection............................................................................................................27

2
 Capitolul I. Abordarea conceptuală a securității datelor personale

1.1 Definirea termenilor cheie

În vederea evidențiereii conceptului informației, Kolmogorow definește cibernetica drept

“știința modurilor de recepție, păstrate, transformate și utilizate a informației de către mașini,
organisme vii și reuniuni ale lor”1.
În cele ce urmează am prezentat detaliat cuvintele cheie necesare în conceptul de
securitate a datelor personale:2
Datele cu caracter personal sunt reprezentate de multitudinea informațiilor aferente
unei persoane, indiferent dacă acestea sunt determinate de viața publică, privată sau profesională.
Aceste date sunt regăsite ca informații de identificare a unui individ pornind de la: nume, CNP,
e-mail, până la: fotografii, numărul mașinii, postările de pe site-urile de socalizare, precum și
informații medicale.
Date sensibile sunt reprezentate de informațiile pe care le oferă o persoană în mod unic
prin date genetice și date biometrice.
Consimțământul este reprezentat de acordul conștient și liber al unui individ în vederea
unui subiect între minim două părți, fie verbal sau scris.
Prelucrarea datelor cu caracter personal reprezintă intervențiile care se aplică asupra
datelor cu caracter personal, fie ca sunt reprezentate în mod automat sau manual, fiind
reprezentate de elemente ce permit: modificarea,stergerea,adăugare sau vizualizarea acestora.
Pornind de la această definiție putem deduce faptul că orice acțiune ce determină o informație
atașată unei persoane, semnifica defapt o prelucrare de date cu caracter personal.
Operatorul (“controller”)este desemnat ca orice tip de persoană juridică sau fizică, care
realizează intervenții asupra datelor cu caracter personal ale unui individ, după ce a identificat
motivul și scopul realizării acestui proces.
Persoana vizată este reprezentată de individul care deține anumite particularități
desemnate, care să se regăseasca în informațiile prelucrate.

1
Anca Tudor, Informatica farmaceutica-curs , Ed. Eurobit, pag 4
2
Art 3 , din Regulamentul (EU) 679/2016.

3
 Partea terță este reprezentată de o persoană fizică sau juridică, diferită de persoana
vizată, de operator sau de persoana împuternicită de operator, care pot să prelucreze date cu
caracter personal
Datele biometrice sunt reprezentate tot de date cu caracter personal. Acestea provin în
urma unei prelucrări referitoare la caracteristicile fizice, fiziologice sau comportamentale ale
unei persoane fizice și care permit identificarea în mod unic al unui individ.
Utilizatorul este reprezentat de individul căruia i se comunică informațiile finale.
Datele anonime sunt reprezentate de informații care nu sunt în corelație cu persona
vizată
Criptarea reprezintă metoda matematică prin intermediul căreia se pot ascunde/proteja
mesajul transmis.
Pseudonimizarea reprezintă procesul prin datele prelucrate în mod unic sunt atribuite
unei persoane vizate. Fără date suplimentare, aceasta nu poate fi identificată, iar informațiile
suplimentare trebuie să fie stocate separat.

4
1.2 Scurt istoric al securității datelor cu caracter personal în cadrul Uniunii Europene

Concepția aferentă securității datelor cu caracter personal reprezintă o noțiune modernă

ce se referă la datele ce sunt stocate si prelucrare, incluzând protecția acestota. În era digitală,
toate datele sunt stocate în baze de date, nemaifiind nevoie de a deține o multitudine de
document în suport fizic. Se poate menționa faptul că cea cea mai veche formă de protecție a
vieții private este oferită de către profesie în locul legislației.
Uniunea Europeană este o cea mai mare comunitate economică şi politică internaţională
a 28 State Europene, formată cu scopul asigurării păcii, stabilităţii şi prosperităţii cetăţenilor
acestora, în cadrul unui proces continuu de integrare bazat pe scopuri economice, politice şi
sociale comune.3
Două mari sisteme de norme se ocupă de protejarea datelor cu caracter personal la nivel
european. Cele două sisteme constituie reguli invocate de Convenția Europeană a Drepturilor
omului, precum și a Dreptului Uniunii Europene.
Anul 1950 are o însemnătate majoră la nivelul Uniunii Europene, fiind denumit și Europa
anului Zero. Datorită impactului pe care l-a implementat cel de-al Doilea Razboi Mondial, au
fost puse bazele “reconstrucției materiale, reconstrucției familiilor și reconstrucției identităților” 4
prin constituirea Uniunii Europene. Reconstrucția unor tări, făcea trimitere în anul 1950 la
independența energetică și a aprovizionării cu bunuri. Tratatul de la Roma avea ca prim obiectiv
crearea unei politici ce să creeze bogăție în statele decăzute prin crearea unor piețe comune,
despărțite de restul lumii prin bariere vamale. Astfel au fost puse bazele „Federației Europene”.
În Europa, prima informare aferentă protecției datelor cu caracter personal a fost regăsit
în articolul 8 din Convenția Europeană privind depturile omului(CECO) din anul 1953, unde se
prevedea faptul că ”orice persoană are dreptul la viață privată și la faptul că nu trebuie să
intervină nici o autoritate publică în exercitarea dreptului, decât dacă este în pericol siguranța
publică sau național, pentru prevenirea dezordinii sau a criminalității , pentru protecția sănătății
sau a dreptului libertății”5. Astfel, s-a proclamat hotărârea cu privire la protecția datelor cu
caracter personal, din diverse perspective, precum:

3
Despre Uniunea Europeană, https://europa.eu/european-union/about-eu/eu-in-brief_ro
4
Sylvain Kahn , Geopolitica Uniunii Europene, Editura Cartier, pag 13
5
Art 8 – CEDO 1953*(1)(2)

5
  stăpânirea comunicațiilor de natură telefonică și electronică,
 supraveghera individului la locul de muncă;
 utilizarea sistemelor de supraveghere video;
 protejarea imaginilor persoanelor;
 apărarea reputației diferitelor persoane.

Un impact major asupra securității datelor cu caracter personal sunt regăsite de-a lungul
istoriei sub forma cadrului instituțional. Acesta este evidențiat prin Tratatul de la Lisabona și prin
orientările strategice pentru spațiul de libertate, securitate și justiție.
1.Tratatul de la Lisabona6 dezvoltă temeiul juridic asupra securității datelor cu caracter personal
prin eliminarea celor 3 piloni aferenți legislației privind protecția datelor în spațiul de libertate,
securitate și justiție (protecția datelor în scopuri private și comerciale folosind metoda
comunitară dar și protecția datelor în scopul aplicării legii, la nivel interguvernamental). De
asemenea, un alt element de noutate a fost reprezentat de noile competențe adresate
Parlamentului, fiind înregistrată drept organizația care stabilește normele aferente protecției
datelor personale ale persoanelor fizice de către instituții, organisme, oficii și agențiile Uniunii
Europene, împreună cu Consiliul.
2. Orientările strategice pentru spațiul de libertate, securitate și justiție.
În vederea dezvoltării priorităților aferente spațiului de libertate, securitate și justiție s-a
apelat la rezultatele programelor de la Tampere și Haga , constituind astfel Programul de la
Stockholm7. Prin acesta se evidențiază faptul că, cetățenii își pot exercita dreptul la libera
circulație, se respectă diversitatea și sunt protejate persoanele cele mai vulnerabile (copii, romi
etc.) și este promovată viața democratică la nivelul Uniunii Europene prin transparența
procesului decizional, accesul la documente și garanța protecției consulară în afara UE.
De asemenea, se pot evidenția și principalele instrumente legislative în materie de
protecție a datelor cu caracter personal prin Cartea drepturilor fundamentale a UE, Consiliul
Europei, Actualele instrumente legislative cu referire la protecția datelor personale .

6
Jurnalul Oficial al Uniunii Europene, https://eur-lex.europa.eu/legal-content/RO/TXT/PDF/?
uri=OJ:C:2007:306:FULL&from=RO
7
Programul de la Stockholm, https://eur-lex.europa.eu/legal-content/RO/TXT/HTML/?
uri=LEGISSUM:jl0034&from=RO

6
 Pe lângă enunțarea principiilor cu privire la protecția datelor cu caracter personal,
Uniunea Europeană deține un sistem mai amplu de reglementări în acest domeniu. Astfel, una
dintre dispozițiile Uniunii Europene este Directiva 95/46/CE. Aceasta tratează protecția datelor
în măsura prelucrării și a circulației datelor sub diferite forme. Adoptarea în România a
legislației a fost efectuată cu ajutorul Legii numărul 667 din 20018.
Pentru a putea adopta o lege unică cu privire la protecția datelor cu caracter personal,
Uniunea Europeană a adoptat Regulamentul General privind Protecția Datelor, abreviat GDPR.
Acesta intră în vigoare începând cu data de 25 mai 2018 și va fi aplicat în toate statele Uniunii
Europene în mod direct, fără alte legi de ordin național.
Procesul de implementare al regulamentului este rezultatul unui proiect implementat încă
din anul 2009, de unde au rezultat elaborarea unei multudini de studii, conferințe și mese
rotunde, dar și consultarea cu părțile implicate(autorități naționale de reglementare, organizații
de protecția consumatorilor9) .

8
Legea nr 677/2001 , http://legislatie.resurse-pentru-democratie.org/legea/677-2001.php , accesat la data
21.04.2018
9
Revista Română de protecția datelor

7
1.3 Clasificarea datelor
Denumirea de “Securitate a datelor personale” este regăsită ca un proiect de mare
amploareamplore, prin intermediul căruia elementele personale de identificare reprezintă nucleul
operațiunilor efectuate, iar informatizarea persoanelor vizate reprezintă elementul de avengură.
Tocmai din acest motiv, principalul element pe care se axează securitatea este reprezentat de
protecția datelor, aflat în strânsă legătură cu instrumentele tehnologice și de comuncații in scopul
oferirii unui sprijin ferm asupra serviciului central, sub forma unor game mari de soluții, sisteme
si servicii electronice.
Principalele concepte de la care pleacă clasificarea informațiilor colectate sunt 10
reprezentate de :
 Informațiile subiective/ secrete subiective –aceste informații sunt unice pentru Guvern
 Informațiile obiective/informații științifice – informațiile sunt deținute de către Guvern
însă pot fi descoperite independent de o altă țară.
 Informații tehnicele – sunt utilizate pentru exploatarea informațiilor științifice.
Principalele domenii pe care se bazeaza securitatea datelor personale, sunt enunțate de
Dumitru Oprea ca și informații bazate pe11:
1. Confidențialitate - păstrarea informațiilor departe de utilizatorii neautorizați. În acest domeniu
se controlează dreptul referitor la citirea informațiilor. Fiecare întreprindere deține informații cu
un puternic impact asupra avantajului competițional12, a valorii pe piață/venituri
2. Integritate – datele să fie păstrate în forma originală, să nu fie modificate
3.Accesibilitate – în funcție de autorizarea deținută, o persoană poate deține acces la date
Este un lucru cunoscut faptul că, informațiile reprezintă putere. Însă, în funcție de
informațiile deținute despre o persoana vizată, aceasta cunoaște date referitoare la:
 Ale tale (nume, prenume, CNP, amprentă, ADN)
 Despre tine (vârstă, sex, etnie, stare de sănătate)
 În legătură cu tine (adresa de domiciliu, reședința, adresa de e-mail, ocupația, venitul)

10
Network Security Assessment – Gregg Kim, Ed SAMS
11
Dumitru Oprea, Protecșia și securitatea informațiilor, ed.Polirom, 2007, pag 30
12
Conform revistei Information Security din luna Iunie a anului 1999, se evidențiază faptul că întreprinderile care
dețin afaceri electronice sunt cu 57% mai avizate asupra “scurgerilor” de informații clasificate decât întreprinderile
care nu desfașoară afaceri pe Internet. Varon, E., The
ABCs of B2B Exchanges, 2001, URL: http://www.cio.com/ec/edit/b2babc.html (20 August
2001).

8
  Care lte-ar putea identifica ca și persoană (orice alte informații care duc la identificarea
lui)”13

În cadrul unei organizații, operatorii au acces la informații în funcție de autorizarea pe

care o dețin. În urma datelor prezentate putem spune că informațiile circulă de jos în sus, de la
informații publice la informații: confidențiale, secrete și apoi la strict secrete, în timp ce în sens
invers – de sus în jos – pot circula doar dacă o persoană autorizată ia decizia de a desclasifica
această regula14.
Ulterior, după ce datele au fost colectate, acestea sunt introduse în sistemul informatic de
care dispune orice organizație. Prin noțiunea de sistem “ se înțelege orice secțiune a realității în
care se identifică un ansamblu de fenomene, obiecte, procese, concepte, ființe sau grupuri
interconectate printr-o multțime de relații reciproce, precum și cu mediul înconjurător și care
acționează în comun în vederea realizării unor obiective bine definite. La un sistem se disting:”
 Mulțimea de elemente
 Relațiile interne între elemente
 Relațiile exogene(intrări și ieșiri)
 Variabilitatea în timp a sistemelor și relațiilor
 Scopul sau finalitatea sistemului ”15

Sistemul informatic al unei organizații este rereprezentat de ”un ansamblu, organizat pe

metode, procedure, echipamente și oameni care să asigure colectarea, vehicularea, memorarea și
prelucrarea info cu ajutorul mijloacelor automatizate în scopul pregătirii și transmiterii deciziilor
privind desfășurarea activităților în cadrul organizației ”16.
Acesta poate fi identificat în 2 ipostaze:
 în mod abstract – infomații, proceduri de prelucrare, satisfacerea sistemului informatic
 in mod concret - date stocate pe suport de memorie, procedee de prelucrare a datelor
executate de sistem oameni și interconexiuni dintre acestea

13
Dumitru Oprea, Protecția și securitatea Informațiilor, editura Polirom 2007
14
Mark Stamp, Information Security, Ed.Wiley
15
Emil Cosma, Bazele Informaticii, Ed ExPonto,Constanța, 2002, pag,12
16
Dumitru Oprea, Protecția și securitatea informațiilor, Ed Polirom, 2003, pag 29

9
 Însă, datele care sunt identificate în sistem trebuie să parcurgă anumite etape ce fac
trimitere la17
 culegerea și generarea informațiilor
 prelucrarea informațiilor (filtrare, discriminizare, analiză, clasificare,)
 transmiterea informațiilor către factorii de decizie
 arhivarea, în locații special amenajate
Informațiile care sunt oferite de către persoanele vizate, sunt evaluate după o serie de
caracteristici18:
 veridicitatea informațiilor – informațiile oferite trebuie să fie adevărate
 precizia – informațiile primite trebuie să fie de calitate pentru a descrie calitatea
 relevanța – pentru a avea valoare într-o organizație
 acuratețea – informațiile oferite trebuie să fie clare
 oportunitatea – informația să fie primită la timpul potrivit
În funcție accesul la date pe care un operator îl poate deține, se poate identifica
permisiunea de accesare pe baza:
 Ceva ce ai – chei, carduri de acces,
 Ceva de știi – parole, coduri, Pin-uri, sau răspunsul la întrebările secrete (“numele
animalului de companie”,”numele mamei” etc)
 Ceva ce ești – amprenta, vocea, recunoașterea facial sau scanarea retinei – cu alte
cuvinte, biometria

17
Bogdan-Dumitru Țigănoaia, Asisurarea securității informațiilor în organizații, Institutul European 2013, pag21-22
18
Idem, pag.22

10
1.4 Nouățile implementării GDPR-ului
Noul Regulament aferent protecției datelor cu caracter personal, înlocuiește Directiva
95/46/CE în vederea consilidării și unificării drepturilor de confidențialitate on line, dar și
pentru protecția datelor din Uniunea Europeană. Elementele de noutate identificate în
regulament fac referire la :
 Sfera de aplicabilitate – regulamentul este aplicabil tuturor organizațiilor care oferă
bunuri sau servicii pe terioriul Europei, dar și pentru toate organizațiil ecare prelucrează
datele cu caracter personal ale rezidenților Uniunii Europene
 Apariția unor noi drepturi asupra cetățenilor:
1. Dreptul de a fi uitat reprezintă dreptul care îi permite care persoanei vizate să facă orice
lucru dorește cu datele sale personale, chiar și posibilitatea de a cere ca acestea să fie șterse
fără a fi nevoie de un motiv plauzibil sau special în vederea procesării și stocării acestora.
2. Dreptul de a fi notificat asupra încălcării- în cazul uneui încălcări a libertătilor și a
datelor cu carcter personal, persoana vizată trebuie să fie notificată în maxim 72 de ore de la
depistarea încălcărilor legale
3. Dreptul la portabilitatea datelor reprezintă dreptul persoanei vizate de a solicita
informații cu privire la datele pe care le-a furnizat anterior, în vederea: cunoașterii scopului
pentru care au fost colecate, modului în casre sunt utilizate dar și a locului unde sunt stocate.
 Confidențialitate datelor „by design” face referire la modul în care datele sunt
identificate în tot ciclul de dezvoltare, promovând respectarea fundamentului aferent vieții
private dar și al protecției datelor, pe când protecția „by default” se referă la setările de
confidențialitate pe care ar trebui să le dețină produsul lansat. – modul în care se asigură
protejarea datelor cu caracter personal în toate fazele de proiectare.
 Consimtământul copiilor – Persoanele cu vârsta peste 16 ani pot beneficia de servii on-
line, cele între 13-16 au nevoie și de consimțământul părinților în vederea prelucrării datelor
iar personelor sub 13 ani le este interzisă prelucrarea
 Ofițerii de protecție a datelor – sunt persoane desemnate ce asigură prelucrarea datelor
asupra persoanelor vizate la scară largă, sau a datelor privind condamnările penale și
infracțiunile.
 Amenzile asupra organizațiilor au fost majorate ( 2% din cifra de afaceri sau 10 milioane
de euro; 4% din CA sau 20 milioane de euro)

11
 Capitolul II. Măsuri tehnice și administrative în funcție de riscuri

2.1 Evaluarea riscurilor

Evaluarea riscui reprezintă “un proces sistematic de identificare și comparare care trebuie
să aibă în vedere activele cheie ale organizației , amenințările și vulnerabilitățile care s-ar putea
manifesta, portabilitatea și consecințele lor, dar și măsurile de protecție prin care pot fi
contractate”19,
„Riscul pentru drepturile și libertățile persoanelor fizice, poate fi rezultatul unei prelucrări
a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau
morală”.20
O evaluarea riscurilor poate fi identificată prin exemplul: Persoana X lucrează în
domeniul contabilității. În cadrul programului de muncă, acesta nu a terminat sarcinile care i-au
fost atriuite și din acest motiv copiază toate informațiile societăților și a clienților pe un stick,
pentru a termina obligațiile acasă. Din neatenție, acesta a pierdut dispozitivul .
În opiia PMI Standard Committee pașii care trebuiesc parcuși pentru a vedea efectul
produs sunt reprezenați de 21:
1.Oportunități și amenințări: În primul rând trebuie să se identifice persoana care ar putea să
intre în posesia bunului, pentru a putea deține o evaluare a riscurilor mai clară. Să presupunem să
stick-ul a ajuns în posesia unui vânzător de produse en-gross(Persoana Y).Însă, odată cu
pierderea stick-ului se pierd și toate informațiile pe care IndividulX le deținea. Acest aspect duce
la o întârziere asupra îndeplinirii sarcinilor deținute dar și la la un risc crescut de securitate a
datelor ce erau stocate pe stick.
2.Efecte: Efectele care pot fi evidențiate în urma pierderii bunului, pot fi reprezentate de:
 costurile suplimentare : pentru evaluarea daunelor provocate, pentru încălcarea
securității datelor cu caracter personal (atât pentru persoane fizice cât și pentru
întreprinderile acestora), reclamă negativă din cauza sarcinilor care nu au fost dus la bun
sfârșit și din cauza compromiterii datelor.

19
Laura-Diana Radu, Riscul în contabilitate și audit,Editura Tehnopress, pag27
20
Articolul 75
21
Laura-Diana Radu, Riscul în contabilitate și audit,Editura Tehnopress, pag27

12
  întârzieri : În cazul în care bunul ar fi recuperat, sarcinile ar fi efectuate în grabă, ceea ce
ar determina asupra calității
 penalizări : penalizările pot să îl impachete direct pe operator sau întreaga organizație.
În cazul în care se află de acest incident și este anunțat, aceștea pot primi un avertisment
sau o amendă

3.Evenimente care constrituie operațiuni pentru organizație, dar poate fi amenințae pentru alta:
Dacă pe stick se identificau produse pe organizația le deținea sau discounturile care erau
efectuate asupra tuturor oragnizațiilor cu care au încheiat o convenție?Atunci, Persoana Y ar
putea prelua în primul rând toate adresele pe e-mail pe care le deține, face o analiză asupra
produselor și prețurilor regăsite, uterior făcând o ofertă mai avantajoasă organizațiilor.
Riscurul perceput a fost astfel ridicat, deoarece au fost încălcate drepturile și libertățile
persoanelor fizice.22
Însă, prin adoptarea noii legi, se dorește să se utilizeze criptarea datelor(sau al sistemului
cu care lucrăm), tocmai pentru a spori securitatea informațiilor. Dacă se adopta unul dintre aceste
produse, persoana –Y- nu se poate folosi de produsul găsit,deoarece nu deține cheia de
decriptare. Acest lucru face ca datele originale sunt neinteligibile, și ar fi fost nevoie de utilizarea
cheii corecte în vederea decriptării acestor informații(pe care nu o deținea). 23

2.2 Măsuri administrative

Politica la nivel de organizație este reprezentată de regulile și practicile prin care se
identifică , protejează și distibuie informațiile cu caracter personal. În noua implementare este
specificat faptul că politicile nu sunt obligatorii, însă sunt recomandate.
După cum am menționat și în capitolul anterior, GDPR-ul se axează pe protecția și
siguranța datelor cu caracter personal la nivel de organizație.Astfel se adoptă măsuri ce fac
trimitere la:

22
Articolul 75
23
Joe Valacich, Christopt Schneider , Information System Today, editura Pearson, pag.435

13
1.Politici
În cadrul unei organizații, politicile trebuie să facă referire la elemente ce țin de:
 Evidențierea obiectivelor organizației și stabilirea cerințelor privind datele personale
Obiectivele alese la nivel de organizație trebuie să se refere la misiunea și direcția organizației.
De exemplu: un obiectiv ce ar face referire la reducerea șomajului nu s-ar potrivi cu misiunea
firmelor care fac restructurări de personal. De asemenea, acestea trebuie să fie realizabile și
calitative (De exemplu: o instituție bancară are ca obiectiv să realizeze vânzări de produse de
35mil.lei și să îmbunătățească imaginea firmei, majoritatea managerilor ignore al doilea obiectiv,
punând presiune pe primul)24. E asemenea aferente protecției datelor cu caracter personal fac
referire la transparența operațiunilor de prelucrare prin faptul că “Datele cu caracter personal
sunt prelucrate în mod legal, echitabil și transparent față de persoana vizată
(“legalitate,echitate și transparență”)25” de către operator.
 Educarea personalului cu privire la politica organizației – toate persoanele de pe toate
nivelurile ierarhice ale organizației, trebuie să cunoască direcția în care se întreaptă firma, tocmai
pentru a fi motivați
 Evidnțiază modul în care organizația alocă resurse pentru îndeplinirea obiectivelor. În
cazul în care se doresc obiective pe termen lung, trebuie să se stabilească modul în care au să fie
gestionate bugetele pe toate proiectele cf. unei analize bazate pe nevoi-profitabilitate și modul în
care obiectivul a să fie atins
 Evidențierea sancțiunilor interne- Angajații trebuie să cunoască cu exactitate modul în
care vor răspunde pentru nerespectarea fluxului de lucru, furtul de date etc.
 Revizuirea politicilor sub dezvoltarea standardului ISO27001- Acest standard
evidențiază nevoile întreprinderii prin identificarea amenințărilor la nivel de organizației.
Astfel, se pot identifica două standarde dedicate managementului securității. Standardul
ISO27001 ce “specifică cerințele pentru stabilirea, implementarea, operarea, monitorizarea,
revizuirea, menținerea și imbunătățirea unui sistem de management a securității informației
documentat în contextul riscurilor generale de afaceri ale organizațiilor” 26 și standardul
ISO27002, ce ajută organizațiile să păstreze în siguranță informațiile deținute.

24
Corneliu Muntanu, Marketing strategic, Ed. Stef, pag. 124-126
25
Art 5, alin(1) GDPR
26
Ioan-Cosmin Mihai , Standardul de securitate ISO 27001, http://www.securitatea-informatiilor.ro/standarde-de-
securitate/standardul-de-securitate-iso-27001/ accesat la data 15.06.2018

14
 Chiar dacă inițial standardul ISO27001 se sustrage de la protejarea noilor dreptul deținute
că către persoanele fizice(dreptul de a fi uitat, dreptul de a fi informat și transferabilitatea
datelor), acesta tot va acoperi o mare parte din GDPR, în cazul în care recunoaște datele
persoanei vizate ca un element de securitate a informațiilor.
În cadrul unei organizații, politicile pentru protecția datelor trebuie să facă referire la
elemente ce țin de:
 Evidențierea obiectivelor organizației și stabilirea cerințelor privind datele personale
 Protejarea datelor cu caracter personal
 Limitarea accesului la date
 Legitimarea accesului la date
2. Procedurile- reprezintă detalierea pașilor în vederea efectuării unei activități, pe lângă
care, sunt detaliate și informații ce țin de implementarea politicilor, standardelor, normelor
Conform Art.12 persoanele vizate au dreptul de acces la date personale stocate utilizate în
organizație. Operatorul este obligat să înștiințeze persoană vizată cu referire la acest aspect,
oferindu-i informații aferente:
 Identității și datele de contact ( Cine prelucreaza?)
 Scopurilor în care sunt prelucrate datele persoanei vizate (În ce scop?)
 Intereselor urmărite în urma prelucrării datelor cu caracter personal (Cum vor fi folosite?)
 Destintarilor (Cui sunt transmise datele?)
 Transferurilor (Pe ce perioadă sunt stocate datele?)27

Răspunsul la cerere trebuie să respecte principiul transparenței, ce face referire la faptul

că informațiile trebuie să fie prelucrate”în mod legal, echitabil şi transparent faţă de persoana
vizată.”. De asemenea, în cazul în care este încălcat un drept asupra persoanei vizate, aceasta
trebuie să fie informată în maxim 72 de ore de la descoperirea breșei. Această înștiințare poate fi
efectuată atât pe suport de hârtie cât și pe format electronic, în funcție de mijloacele de analiză a
informațiilor digitale pe care persoana vizată le utilizează constant cât și de limba vorbită.
Procedura evaluării impactului este adresată dispozitivelor ce stau la baza prelucrării
.datelor prin utilizarea tehnologiei în vederea respectării legislației asupra îndeplinirii drepturilor
și libertăților persoanelor fizice. În urma realizării acestei evaluări se obțin informații aferente:

27
Art. (13) și (14) din Regulamentul (EU) 679/2016.

15
  Descrierii operațiunilor de prelucrare și scopul lor
 Necesității motivului pentru care se prelucrează datele
 Evaluării tehnologice pentru a verifica dacă sunt(sau nu) încălcate drepturile și libertățile
persoanelor fizice.
Pentru o preluare de date în mod electronic, site-urile folosesc cookie-uri. Acestea
reprezintă un fișier pe site-ul Web ce permite cunoașterea obișnuințelor utilizatorilor de accesare,
pe baza căruia se poate efectua profilarea ulterior.28

Imagine 1 : Notificare privind Imagine 2: Notificare privind

confidențialitatea datelor în UX confidențialitatea datelor in-time

După cum se identifică în imaginea2, notificarea de securitate in-time este mai detaliată
față de notificareaUX, fiind identificare o serie de elemente suplimentare: modul în care sunt
utilizate datele , ce date sunt procesate și hyperlinkul pentru vizualizarea detaliată a politicii de
confidențialitate.
3.DPO - Până în momentul în care a fost adoptat Regulamentul aferent securității datelor
cu caracter personal , controlorii se asigurau de acuratețea notificărilor oferite autorităților locale
în vederea activității de prelucrare a datelor(DPIA). Deoarece acest proces era complex din
prisma organizațiilor multinaționale, GDPR solicită existența unui DPO, adică a unui controlor
ce se ocupă cu prelucrarea, monitorizarea sistematică și sistemic, a persoanelor vizate la scară
largă sau date ce suprind condamnarile penale și infracțiunile înregistrate în registrele interne de
păstrare a datelor29.Acesta poate fi reprezentat de un angajat sau de către un consultant extern.
Ofițerul care efectuează prelucrarea datelor trebuie să fie împuternicit la nivelul ierarhic
în vederea efectuării acestui proces.30 Astfel, fiecare să cunoască legile și practicile aferente
prelucrărilor de date pentru care este desemnat, pentru o mai bună monitorizare și respectare a

28
Effy OZ, Management Information Systems, Ed. Thomson
29
Art 7, pct. 8 GDPR
30
ART 4, pct. 18-19 gdpr

16
regulamentului intern de care instituția dispune. Acesta trebuie să se asigure de faptul că
prelucrarea datelor de către angajații firmei a fost efectuată în mod correct, astfel încât să nu
intervină indidente asupra securității de la personal. Astfel încât, aceștea să nu fie victim ale
atacurilor cibernetice din simplul fapt că au fost neatenți cu modul de depozitre ale documentelor
sau ale dispozitivelor care con țin date cu caracter personal sau cu faptul că acele informații pot
fi dobandite pe calculatoarele personale ale angajaților. Însă, acest process poate fi reprezentat
prin efectuarea unor module de învățare care vor fi finalizate cu un test (în cazul întreprinderilor
mari) sau prin simple sesiuni de training .

4.Clauze
Acestea reprezintă o prevedere identificată în contract, ce poate produce efecte juridice în
cazul în care este conformă cu legislația în vigoare. O serie de elemente fac referire la:
 Responsabilitățile și raspunderea pe care fiecare persoană o deține
 Sancțiuni/amenzi /despăgubiri cu privire la nerespectarea clauzelor contractuale
 Acordul de marketing, stocare, profilare

5.Contract
Pentru fiecare prelucrare a datelor cu caracter personal pe care operatorul o realizează
prin intermediul unei terțe persoane, trebuie să existe un document justificativ incheiat între cele
două părți care să ateste veridicitarea procesului efectuat, unde să fie identificate elemente ce țin
de :
 Părțile comntractate
 Durata prelucrării datelor
 Motivul pentru care datele sunt prelucrate
 Evidențierea datelor ce sunt transmise spre prelucrare
 Persoane împuternicite care să garanteze pentru îndeplinirea cerințelor prevăzute de GDPR
 Transmiterea/ ștergerea datelor cu caracter personal la sfârșitul perioadei contractuale
 Consimțământul în vederea prelucrării datelor cu caracter personal
 Obligațiile, drepturile și sancțiunile persoanei vizate
 Garantarea respectării drepturilor persoanelor vizate de către operator, prin numirea unei
persoane împuternicite care să garanteze pentru îndeplinirea cerințelor prevăzute de GDPR

17
2.3 Măsuri tehnice
Datorită fluxului mare de informații ce intervine la nivel de organizație, se pot evidenția
noi tehnologii ce doresc să susțină și să pună în aplicare noi procese. Aceste procese au scopul de
a deține în mod constant o evaluare asupra riscurilor si a controalelor efectuate, dar să existe și o
evidențiere asupra modalități prin care impactul acestora poate fi diminuat.
În ajutorul realizărilor măsurilor tehnice la nivel de organizație, GDPR-ul vine cu un nou
concept reprezentat prin confidențialitatea datelor „by design and by default”31.
Un exemplu aferent acestui nou concept, se poate identifica în momentul în care se
dorește deschiderea unui cont cont pe un site de socializare. Elementele necesare efectuării
acestui procedeu se rezumă la oferirea numelui complet, a adresei de e-mail și a numărului de
telefon. În cazul în care se identifică în distribuirea informațiilor ce țin de adresă de domiciu,
orientare politică etc. se evidențiază încălcarea regulamentului din punct de vedere „by default”.
După cum bine știm, întreprinderile sunt supuse unei multitudini de încercări de spargere
a sistemelor informaționale în vederea furtului de date. Însă, în noua legislație se poate identifica
faptul că, în vederea efectuării procesului de prelucrare, s-a pus accentul pe criptarea și
pseudonimizarea32 datelor cu caracter personal. Însă, pentru a garanta buna funcționare a acestora
, articolul 32 impune păstrarea înregistrărilor, împreună cu descrierea măsurilor tehnice și
organizatorice ca și dovadă a faptului că sistemele funcționează la nivelul de securitate stabilit.

1. Criptarea
La nivelul autorităților de protecție a datelor din Uniunea Europeană, este remarcat
accentul pus pe posibilitatea adoptării unei modalități de criptare puternice și eficiente în vederea
realizării confidențialității și securității datelor transmise (de la simplele substituții de litere din
mesajul transmis la sisteme ce permit codificarea mesajului în mod complex până la sisteme
informatice să să efectueze acest procedeu)pentru a nu afecta viața privată a persoanelor vizate.
Articolul 29 pune accentual pe modul în care transmiterea datelor trebuie efectuată în
siguranță dar trebuie să se realizeze și un flux de gestiune bun la nivelul interlocutorilor. Fără
această metodă de codificare a mesajelor transmise, multe dintre activitățile desfășurate în viața

31
Articolul 25 din Regulamentul (EU) 679/2016
32
Articolul 32 din Regulamentul (EU) 679/2016

18
de zi cu zi al fiecărui individ ar fi pus sub semnul întrebării deoarece ar avea un impact negativ
asupra vieții private și al securității informațiilor persoanelor.
Un exemplu poate fi identificat între sectorul bancar și clientul acestuia. Acesta a
transmis un ordin de plată cu ajutorul aplicației de MobileBanking (după ce utilizatorul s-a
autentificat). În cazul în care banca nu dispune de un sistem avansat de cripare a sistemului, o
persoană rău voită ar fi avut acces asupra unui dispozitiv dintre cele menționate, deținând astfel
acces la toate informațiile personale ale clientului(nume, adresa, cod iban, sume disponibile,
etc.). Astfel, mesajul transmis de client către instituția bancară nu ar mai fi expus intr-un mod
clar. Din acest exemplu se poate deduce faptul că, adoptarea criptării la nivelul organizațiilor este
obligatorie în vederea garantării confidențialității datelor (criptarea end-to-end33)Un alt avantaj
este reprezentat de faptul că datele s-au păstrat integre prin prisma faptului că acestea nu au putu
fi modificate, șterse sau folosite de către o altă persoană terță.
Însă, odată cu dezvoltarea criptării datelor, organizațiile mai au nevoie și de un certificat
de autoritate în vederea efectuării veridicității asupra securității site-ului. Produsul dezvoltat de
Netscape, Secure Dockets Layer, reprezintă unul dintre cele mai cunoscute metode de acces la
chei publice în vederea decriptării mesajelor online.

2.Pseudonimizarea
Pseudonimizarea nu este o măsură pe care noul regulament să o impună în mod expres,
însă reprezintă o măsură recomandată spre aplicare, prin intermediul căreia se dorește să se
restrângă legătura dintre setul de date personal și persoana vizată.
De exemplu “Utilizatorul : Abc123” este “Popescu Ion”. Pentru a identifica persoana
care deține UserName respective ar fi necesar să deținem o listă care să cuprindă aceste
informații, altfel identitatea persoanei nu poate fi realizată .
Putem identifica în GDPR faptul că datele pseudonime sunt regăsite ca date cu caracter
personal, fiind încurajate de normele europene în viguare să fie păstrat acest trend sau chiar
pseudomizarea să fie identificată în mai multe puncta diferite.
 Profilarea cu ajutorul pseudonimizării

Un nou concept care se identifică la nivel de GDPR este reprezentat de profilarea

persoanelor vizate. Acest aspect se referă la faptul că” Orice formă de prelucrare automată a

33
End-to-end encryption, https://en.wikipedia.org/wiki/End-to-end_encryption , accesat la data 16,06,2016

19
datelor cu caracter personal care constă în utilizarea acestor date pentru a evalua anumite aspecte
personale referitoare la o persoană fizică, în special pentru a analiza sau prezice aspecte legate de
performanța persoanei fizice la locul de muncă, situația economică, sănătatea, preferințele
personale, fiabilitate, comportament, locație sau mișcări” 34, însă prelucrarea se face în mod
automat, altfel este necesar „consimământul explicit”35 persoanei vizate.
Un exemplu aferent profilării poate fi identificat în domeniul bancar. Atfel încât pe
baza informațiilor oferite de client în compeltarea cererii de creditare(disponibilități financiare,
persoane în întreținere, studii, zona geografică etc.), sistemul îi va crea un profil. Prin
intermediul acestuia, clientul poate fi repartizat pe viitor pe anumite campanii ce i se potrivesc
(dacă deține și acordul de marketing, bineînțeles).
 Pseudonimizarea – un ajutor pentru reducerea sarcinilor dezvăluirii datelor
personale

În conformitate cu noul regulament, “dreptul de acces” le permite persoanelor vizate să

solicite întreprinderilor de unde dețin produse, copii care să le furnizeze informații cu referire la
datele care au fost prelucrate, dar și cu scopul în care au fost utilizate 36. Răspunsul aferent
solicitării trebuie să fie transmis în termen de maxim 40 de zile din momentulefectuării cererii..
Însă, în regulament se poate identifica și o breșă prin cadrul căreia persoana vizată nu ar
putea să primească acea notificare. Aceasta este posibilă în cazul în care organizația “poate
demonstra faptul că în urma pseudomizării datelor, sistemul nu este în măsură să identifice
persoana vizată” și nu sunt oferite informații suplimentare în vederea recunoașterii persoanei.
Din datele enunțate se poate identifica faptul că, întreprinderile pot să nu specifice în cerera de
răspuns la solicitare, datele care au fost pseudomizate. Acest aspect vine în întâmpinarea
organizațiile mari, care dețin mii de persoane ce dețin un produs/ serviciu(Facebook, Instagram
etc).
 Pseudonimizarea – ajutor pentru reducerea raportării încălcării datelor
În cazul încălcării regulilor de raportare a încălcării datelor, GDPR introduce noi
specificații. Astfel, instituțiile trebuie să implementeze sisteme sigure care permit protecția
datelor cu caracter personal ale utilizatorilor. În cazul în care, întreprinderea suferă un incident

34
Art4 Regulamentul (EU) 679/2016
35
Art 20 Regulamentul (EU) 679/2016
36
Articolul 15Regulamentul (EU) 679/2016

20
de securitate, aceasta este obligată să efectueze către persona vizată o informarea în maxim 72 de
ore din momentul conștientizării problemei37 prin care să o înșiințeze asupra breșei deținute în
sistem. Însă, tot în GDPR identificăm faptul că organizațiile pot să nu informeze autoritățile de
protecție a datelor dacă “pot demonstra faptul că încălcarea datelor cu caracter personal nu
implică un risc pentru drepturile și libertățile persoanelor”38.
De asemenea, se poate identifica și în acest caz, faptul că întreprinderile pot să “scape”
de transmiterea notificărilor în cazul în care a fost îndeplinită condiția asupra căreia să nu fi fost
present un “risc ridicat” asupra confidențidențialității persoanelor sau în cazul în care “a
implementat o protecție tehnică și organizațională adecvată măsuri [...] care fac datele
neinteligibile pentru orice persoană care nu este autorizată să o acceseze”39.
Acestă încălcare a datelor, atrage după sine multe costuri financiare , de reputație și
resurse însă, în cazul datele au fost pseudomizate prin criptare, riscul de încălcare a limitelor
impuse de GDPR este redus substanțial. Această abordare este susținută de GDPR în scopul
determinării măsurilor de securitate după informațiile prezentate anterior scutind astfel efortul
întreprinderii de a transmite notificarea persoanelor vizate/ autoritate de reglementare.

3. Endpoint protection
1. Instalarea antivirusului ar trebui să fie una dintre principalele aspecte pe care o
organizație să o întreprindă la nivel tehic deoarece “este un software specializat care previne
infectarea calculatoarelor cu viruși și viermi informatici, ca și cu alte tipuri de malware și elimină
aceste pericole, daca infectarea s-a produs”40. Acesta trebuie ales în funcție de nevoile
întreprinderii și de serverul pe care aceasta îl deține în scopul blocării atacurilor cibernetice ce
pot duce la furt de date sau de informații cu caracter personal care să pună în pericol viața
persoanelor vizate.
Principalele amenințări asupra informației determină în mod expres eficiența afacerilor
prin infectarea sistemului informatic, element esențial în afacerile virtuale dar și deținător de date
personale. Din cauza acestui considerent, ar fi indicat ca întreprinderile să blocheze accesul la
paginile de pe internet ce nu sunt utilizate în scopul îndeplinirii sarcinilor prestabilibile, însă
trebuie să dețină și o politică de securitate la nivel intern prin intermediul căreia să nu se poată

37
Art 33 din Regulamentul (EU) 679/2016.
38
Art 31-32 Regulamentul (EU) 679/2016
39
ART 31(1), 32(1), 32(3A) Regulamentul (EU) 679/2016
40
Daniela Popescul, Securitatea informațiilor- instrumente și metode de lucru, Editura Tehnopolis, 2014, pag 64

21
utiliza documentele care au fost „infectate”. De asemena, acestea ar trebui să aloce o parte din
buget în vederea educării angajaților cu privire la gestiunea riscului operational .
De exemplu, în cazul în care un e-mail trece de politica de securitate la nivel de
organizație, angajații trebuie să dețină informații de bază prin care să anunțe departamentul
specializat în vederea remedierii problemei, în loc să deschidă documentul care poate conține
diverși viruși și să compromită siguranța documentelor și a datelor persoanelor. Un produs se
securitate a e-mailurilor este utilizarea sistemului PGP-Preety Good Privacy prin intermediul
căruia e-mailuile pot fi criptate și decriptate. Un suport legal a fost efectuat în anul 1986, în
momentul în care Congresu. A aprobat Electronic Communication Privacy(ECPA). Însă, acesta a
oferit un suport de securitate mult mai ridicat la nivel de e-mailuri vocale decât pentru e-mail
adresat comunicării scrise41.
În cazul în care sistemul antivirus devine ineficient, virusul poate acționa la nivel de
sistem iar fișierele se pot deteriora și astfel securitatea informațiilor persoanelor vizate este pusă
în pericol. Cu ajutorul backup ului se dorește revendicarea datelor deținute în sistem, înaintea
atacului cibernetic produs, chiar dacă acesta a determinat distrugeri totale asupra datelor. .
2.Certificate digitale
Certificatele digitale fac parte din serviciile eletronice de autentificare din domeniul
securității datelor personale și reprezintă rezolvarea aplicării tehnologiei informației și securității
în gama de funcții referitoare la comunicarea unei persoane cu întreprinderile ce permit acest
lucru.
Importanța deținerii unui certificat digital este regăsit în exemplul următor : PersoanaX
dorește să îi transmită un mesaj persoaneiY utilizând criptarea cu chei publice. Primul pas este
reprezentat de faptul că persoanaY trebuie să îi ofere persoaneiX chei de criptare a mesajului.
Însă, dacă mesajul nu a fost transmis securizat, de unde poate ști persoanaX că a primit cheia
validă și comunică întradevăr cu persoanaY? 42. Certificatul digital poate fi utilizat de persoanaX
pentru a verifica dacă cheia publică primită aparține persoaneiY sau altei persoane.

41
Joe Valacich, Christopt Schneider , Information System Today, editura Pearson, pag.64
42
Terry William Ogletree-Traducere de Moraru Florin, Mocanu Cristian,Firewalls Protecția rețelelor conectate la
Internet, Editura Teora, pag 171

22
 Imagine 3 : Imagine 4:
Înregistrare de cerificat real Certificat Digital falsificat

CertSIGN este un certificat digital care permite crearea semnăturii electronice legale,
crisparea informațiilorelectronice transmite dar și autentificarea la aplicații.
Sisteme de securitate, asigură datele din cadrul unei întreprinderi de:
1.Rootkit
Aceste este conceput în mod expres pentru a produce daune la nivel de computer,server,
rețele de calculatoare prin deținerea controlul asupra bunului și posibilitatea deghizării virușilor
și malwareurilor să nu fie depistați de către sistemul antivirus.43
Un exemplu este identificat la compania Sony. Aceasta a vândut rotkit-uri ascunse pe pc-
urile cumpărătorilor, ce conțineau un cal troian pentru a împiedica copierea ilicită. Un astfel de
procedeu este aspru pedepsit de GDPR deoarece se acționează fără consimțământul persoanelor
vizate iar aceștea nu cunosc datele ce vor fi prelucrate, modul în care vor fi utilizate, mediul de
stocare al acestora etc.
2. Backdoors
Porțile de siguranță (backdoors)44 și cheile de siguranță (master keys) influențează în mod
negativ siguranța informațiilor oferite prin metodele de criptare din cauza faptului că determină
dezvoltatorii acestei tehnologii să pună la dispoziția organelor de aplicare a legii metode de
decriptare a informațiilor, ce să le permită accesul de la distanță asupra sistemului informatic fără
ca utilizatorul să identifice acest lucru, cu alte cuvinte, acestea ocolesc sistemul de Securitate/
autentificare al unui computer. Acestea se pot identifica încă din faza de producție( fiind înglobat
în circuitele electronice) a bunul “infectat” sau poate fi adăugat ulterior sub formă de malware.
Un exemplu este identificat la compania Sony. Aceasta a vândut rotkit-uri ascunse pe pc-
urile cumpărătorilor, ce conțineau un cal troian pentru a împiedica copierea ilicită. Un astfel de
procedeu este aspru pedepsit de GDPR deoarece se acționează fără consimțământul persoanelor

43
Daniela Popescul, Securitatea informațiilor- instrumente și metode de lucru, Editura Tehnopolis, 2014, pag 21-22
44
Backdoor hardware, https://despretot.info/backdoor-definitie-dex/

23
vizate iar aceștea nu cunosc datele ce vor fi prelucrate, modul în care vor fi utilizate, mediul de
stocare al acestora etc.
3..Phishing
Activitatea de tip phishing este una dintre cele mai întâlnite tehnici de furt de date din
cadrul sistemului bancar prin obținerea unor date confidențiale (date de acces, informații despre
cardurile de credit etc.) folosind identitatea unei persoane sau instituții. De regula, prin această
tehnică, atacatorul trimite mesaje persoanei vizate, prin intermediul căruia îl îndeamnă să ofere
datele personale pentru că acestea au fost pierdute/ pentru obținerea de premii. Deobicei, în
mesaj este regăsită și o clonă a paginii instituției (www.bancp0st.ro în loc de www.bancpost.ro ),
tocmai pentru a oferi siguranța. Astfel organizațiile trebuie să investească resurse financiare
tocmai pentru a încorpora în softul deținut modulele anti-înșelăciune.
Astfel, este necesar să se se adopte masuri ce țin de:
 Securizarea datelor – identificarea abuzului de identitate, posibilitate de raportare ale
incidentelor de tip phishing
 Aplicații de intenet securizate – securizarea browser-ului și a configurației adreselor de e-
mail

Imagine 6 : E-mail de tip phishing

Datorită amplei dezvoltări asupra erei informaționale, întreprinderile au început să își

dezvolte din ce în ce mai mult propriile sisteme tehnologice. Acest aspect a generat o succesiune
de probleme aferente confidențialității și asigurării integrității datelor aflate pe suport
electronic, fiind dezvoltate sisteme care să permit accesul la informașii. Printre cele mai mari
breșe de securitate din perioada actuală este întâlnită în cadrul sectorului bancar:

24
 4. Controlul accesului la date
Domeniul major de interes este reprezentat de protecția datelor, iar numarul mare de
instrumente tehnologice a informației și comunicațiilor este realizată în scopul de a întrebuința
un sprijin ferm serviciului central, sub forma unor game mari de soluții, sisteme și servicii
electronice.
Prin implementarea acestui mod de a avea acces la date, organizația poate cunoaște în
orice moment personale care au accesat informațiile în vederea reducerii furtului de date. Însă,
acestea pot fi accesate în funcție de”autorizarea” pe care o deține.
 Controlul accesului prin obiecte
Reprezintă unul dintre mai utilizate metode prin intermediul căruia se poate accesa sediile
organizațiilor. Deobicei, organizațiile dețin o cartelă de plastic pe care o atrbuie angajaților
pentru acces. Acestea cuprins și informații suplimentare despre purtător, ce fac referire la
prelucrarea anumitor date cu caracter personal: nume, adresă, drepturi de acces etc.
 Controlul accesului prin biometrie
Biometria reprezintă unul dintre cele mai sigure modaități de accesare a datelor asupra
sistemului, a informațiilor ce implică elemente de identificarea persoanelor vizate. Atfel,
angajații pot fi identificați după elementele ce îi defines în mod unic, iar astfel se poate observa o
Securitate ridicată la nivel de acces la date. De exemplu, multe organizații au investit în
dezvoltarea tehnologică , prin implemetarea unor dispozitive care permit scanarea amprentei.
 Controlul accesului prin parole
Acest tip de acces este utilizat în vederea obținerii accesului pe calculator. După
introducerea numelui de utilizator, se cere să fie introdusă o parola, care să facă posibilă
vizualizarea și accesarea datelor în funcție de autorizarea pe care operatorul îl deține. Această
metodă de acces este sigură până în momentul în care utilizatorii își comunică parola. Însă,
sistemul informatic al organizației trebuie să aibe niște mijloace minime de impelmentare prin
intermediul căruia să asigure protecția datelor. Deobicei, se pornește de la forma parolei de bază
a informaticii ”Abc*123”, ulterior urilizatorul putând să își creeze propria parola.

5. Controlul recuperării datelor

Odată cu implementarea noului regulament de protecție a datelor cu caracter personal, se
poate identifica o mai mare importanță adresată modului în care organizațiile stochează și
protejează datele persoanelor persoanelor vizate de preșele de securitatate sau de accidentele info

25
1.Disaster Recovery
Disaster Recovery reprezintă un sistem complex adresat organizațiilor prin intermediul
căruia se pot obține datele pierdute în cazul undei defecțiuni al echipamentului, al unui atac
cybernetic sau al unui dezastru natural. Astfel perioada de nefuncționalitate a sistemului este
redusă . Elemental recovery point objective determină și frecvența minima a backup-urilor(Ex.:
În cazul în care există un RPO de 1 oră, sistemul trebuie să efectueze copii de rezervă cel
puțin o data pe oră) dar și elemental recovery time objective (Ex.: RTO este de 3 ore, ceea ce
înseamnă că organizația are o perioadă maximă de 3 ore pentru a recupera fișierele din spațiul de
stocare și să preia activitatea în condițiile standard). Astfel, confidențialitatea și siguranța datelor
din sistemele organizațiile, ar avea un real beneficiu, deoarece ar fi respectate toate intervederile
GDPR-ului.
2. Backup
Fiecare organizație trebuie să se asigure că deține o strategie de backup în cazul acoperirii
riscurilor de a pierde informații. Acest proces ar trebui implementat din propria inițiativă a
organizațiilor și nu doar din faptul că legislația în vigoare ar impune acest aspect.
În cazul în care sistemul antivirus devine ineficient, virusul poate acționa la nivel de
sistem iar fișierele se pot deteriora și astfel securitatea informațiilor persoanelor vizate este pusă
în pericol. Cu ajutorul backup ului se dorește revendicarea datelor deținute în sistem, înaintea
atacului cibernetic produs, chiar dacă acesta a determinat distrugeri totale asupra datelor.
Însă, potrivit noilor reglementări din GDPR se identifică “dreptul de a fi uitat” 45 unde
practice, personaa vizată poate face orice lucru dorește cu datele sale personale, chiar și
posibilitatea de a cere ca acestea să fie șterse fără a fi nevoie de un motiv plauzibil sau special în
vederea procesării și stocării acestora.Însă, în cazul în care persoana vizată solicit ștergerea unor
informații din sistem, în regulament nu este prevăzută nici o clauză prin intermediul căreia să fie
identificate informații despre păstrarea copiilor de rezervă.
Singura referire adresată “restabilirii” este regăsită în articolul 32 însă se referă la modul
în care organizațiile trebuie să restabilească accesul la datele persoanei vizate dacă au avut loc
incidente fizice sau tehnice. Însă, în cazul back up-ului relizat prin mediile Cloud, datele șterse
sunt rareori elimitate complet iar furnizorul de cloud este posibil să dețină mai multe copii ale
datelor, aflate în mai multe surse. Din aceste date, modalitatea cea mai permisivă asupra

45
Art 17 Regulamentul (EU) 679/2016

26
organizațiilor ar face referire la faptul că datele arhivate ar trebui stocate intr-un mediu offline și
nu într-un mediu on-line.

6.Mobile device management

Dispozitivele mobile au devenit cele mai indispensabile device-uri din viața oamenilor de
zi cu zi. Odată cu legătura între tehnologia mobilă și piața de enterprise mobility management,
datele pe care le deține un operator pe calculator, pot fi identificate și pe telefonul acestuia, în
urma obținerii un” certificat de încredere”, astfel obiectivele putând fi realizate și de la distanță.
Însă, pentru a se asigura că nu influențează securitatea informațiilor deținute,
organizațiile ar trebui să adopte și măsuri de Securitate în cazul adoptării MDM. În cazul în care
se dorește activarea aplicației Office365, operatorii pot avea acces aplicațiile Word, Excel,
OneNote,Outlook, OneDrive,Skype for business, Yammer, SharePoint și de asemenea pot
beneficia și de un sistem de protecție a datelor Intune, însă, în cazul în care se dorește, se poate
modifica și accesul la resursele companiei.46

7. DataBase Protection
GDPR ul și-a pus amprenta în mod special de modul de stocare a datelor în sistemele
tehnologice ale organizațiilor. Pentru realizarea acestui proces, fundamentul principal al
constituirii proiectelor de conformitate fac trimitere către protecția datelor prin design47.
Protecția datelor prin design se referă la modul în care datele din cadrul dezvoltării
produselor și serviciilor sunt impuse în tot ciclul de dezvoltare(creare, elaborare., lansare,
utilizare). Mai exact, la setările de confidențialitate ale informațiilor care trebuie să se regăsească
la un nivel înalt, iar operatorul trebuie să se asigure că toate informațiile colectate și prelucrate
sunt exprimate în mod expres .Indicat ar fi ca datele colectate să fie identificate intr-o bază de
date fixă, pentru a permite recuperarea oricărui material independent.
Pentu a deține o bază de date care să respecte noul regulament trebuie să fie parcurse
câteva etape de implementare și de asigurare a confidențialității datelor. Astfel, primul pas poate
fi identificat prin faptul locului unde sunt regăsite datele care sunt salvate de către sistem(fie că
sunt pe surse externe – backup uri, alte dispozitive , fie că sunt alte surse de stocare). Acest

46
What are app protection policies?, https://docs.microsoft.com/en-us/intune/app-protection-policy
47
"Privacy and Data Protection by Design — ENISA". www.enisa.europa.eu. Accesat pe data 28,24,2018

27
aspect permite identificarea datelor pe care organizația le deține, locul în care sunt păstrate dar și
vizualizarea oricărei înregistrări/ accesări de fiecare persoană.

Imagine 7: Interacțiunile unui utilizator/zi în mediul on-line48

În imaginea 3 se poate observa modul în care dispozitivele pe care le deține un utilizator

vor crește gradul de interacțiune cu mediile de date.După cum se identifică și în tabel, în anul
2010 numarul de interacțiuni pe zi ale unui utilizator era de 85. Odată cu dezvoltarea
tehnologiilor asupra tuturor bunurilor pe care o persoană le poate deține(casei, mașinii,
aparatelor), valoarea interacțiunilor crește în mod alarmant la 4785. Astfel, se poate vizualiza o
creștere de 98,22% în decursul a 15 ani asupra utilizării internetului dar și asuprainformațiiot
deținute în baza de date.
Pe lângă modul în care sunt păstrate datele, GDPR prevede și reguli adresate colectării și
utilizării datelor, în scopul reducerii furtului de informații datorat exploziei de date personale.
Din punct de veredere al colectării datelor, consimțământul persoanei vizate pentru cercetare
reprezintă una dintre cele mai mari probleme, deoarece "adesea nu este posibilă identificarea pe
deplin a scopului procesării datelor cu caracter personal în scopuri de cercetare științifică în
momentul colectării"49. Însă, se întâlnește un nou articol care oferă posibilitatea controlorilor de a
prelucra datele cu caracter personal înafară de scopul expus inișial, în cazul în care "furnizează
garanții adecvate"50.
De asemenea, trebuie acordată o protecție ridicată și asupra informațiilor care sunt supuse
transferurilor internaționale pentru a nu fi încălcat „dreptul la portabilitatea datelor”51. Indiferent
de tehnologia deținută trebuie să existe garanții conform căruia să fie identificat modul legal în

48
Total WW Data to Reach 163ZB by 2025, https://www.storagenewsletter.com/2017/04/05/total-ww-data-to-
reach-163-zettabytes-by-2025-idc/
49
Art 33 Regulamentul (EU) 679/2016
50
Art 29 Regulamentul (EU) 679/2016
51
Art 20 Regulamentul (EU) 679/2016

28
care au fost transferate datele52, dar să fie identificat și respectarea protecției ” by design and by
default”.
După cele menționate se poate identifica faptul că, un element important asupra bazei de
date este reprezentat de curățarea unei acesteia și la nivel de back-up dar și ștergerea cât mai
rapidă din sistem ale datelor pentru care nu există permisiune de stocare. Un exemplu poate fi
reprezentat de firma Flybe care a fost amendată cu 70 000 de lire sterline deoarece a transmis e-
mailuri care conțineau întrebarea ”Detaliile sunt corecte?” către clienții care nu au renunțat la
acordul de marketing, conținând de asemenea și informații prin care îi invitau pe aceștea să
particiăpe la un concurs53. Astfel au fost încălcate reglementările aferente confidențialității dar și
cele aferente comunicațiilor electronice. De asemenea, a fost încălcat și dreptul persoanei vizate
de “a fi notificat asupra încălcării”54, deoarece aceștea nu au primit nici o informare asupra
acestui aspect.

Imagine 8: E-mail Flybe55

52
Art 46, Transferuri în baza unor garanții adecvate, GDPR
53
Data protect act 1998, Supervisory powers of the information commissioner , https://ico.org.uk/media/action-
weve-taken/mpns/2013731/mpn-flybe-limited-20170320.pdf
54
Art 33 Regulamentul (EU) 679/2016
55
Cum influențează GDPR marketing-ul?
https://www.classit.ro/imports/brosura/Cum%20influenteaza%20GDPR%20Marketingul.pdf

29